ASA-2019-00126 – Apache Solr: Desserialização de dados não confiáveis via jmx.serviceUrl


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00126

Identificador(es)

ASA-2019-00126, CVE-2019-0192

Título

Desserialização de dados não confiáveis via jmx.serviceUrl

Fabricante(s)

The Apache Software Foundation

Produto(s)

Apache Solr

Versão(ões) afetada(s)

Apache Solr 5.0.0 até 5.5.5
Apache Solr 6.0.0 até 6.6.5

Versão(ões) corrigida(s)

Apache Solr 7.0

Prova de conceito

Sim

Descrição

O ConfigAPI permite configurar o servidor JMX do Solr por meio de uma solicitação HTTP POST. Ao apontá-lo para um servidor RMI mal-intencionado, um atacante pode aproveitar a desserialização insegura do Solr para acionar a execução remota de código no lado do Solr.

Detalhes técnicos

Desconhecido

Créditos

Michael Stepankin

Referência(s)

CVE-2019-0192 Deserialization of untrusted data via jmx.serviceUrl in Apache Solr
https://seclists.org/oss-sec/2019/q1/169

[CVE-2019-0192] Deserialization of untrusted data via jmx.serviceUrl
https://issues.apache.org/jira/browse/SOLR-13301

CVE-2019-0192 – Apache Solr RCE 5.0.0 to 5.5.5 and 6.0.0 to 6.6.5
https://github.com/mpgn/CVE-2019-0192/

CVE-2019-0192
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0192

CVE-2019-0192
https://nvd.nist.gov/vuln/detail/CVE-2019-0192

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 11 março 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.